我一直在为我的网站编写自己的 api,该 api 只允许消费者阅读基本信息。
有人建议我给消费者一个公共和私有 API 密钥。私有 API 密钥将用于服务器端脚本,例如 php,因此公众无法查看它并以错误的方式使用它,然后公共密钥将用于 javascript 等语言。对于他们告诉我的公共 api 密钥,我必须检查请求的原始来源并将其与我数据库中的 url 匹配。
但是我要检查请求来自的 URL 的方法是检查引用,但我知道引用者可以更改,所以这不是一个好主意。
我正在寻找一种方法来正确检查引用 URL,这是非常可靠的。或者任何人都可以向我建议一种不同的方式来做这个 API?